Estudiantes y empleados de la Universidad de Puerto Rico (UPR) denunciaron ayer, en las redes sociales, tener acceso a información sensitiva de empleados, otros estudiantes, y oficinas administrativas de la institución en sus cuentas recién habilitadas de Microsoft 365 durante un proceso de emulación de servicios de Google Suite hacia Microsoft.
En la mañana de ayer, estudiantes y profesores expresaron su descontento sobre los distintos problemas que suscitaron, llevando a sospechas de que había comenzado el proceso de emulación.
«Los usuarios que no vean llegando sus correos electrónicos en el ambiente de GMail, tienen que entrar a http://portal.office.com y luego de entrar sus credenciales institucionales, buscar Outlook. Allí deberán ver todos sus emails», expresó el Centro de Tecnología de Información (CTI) del Recinto Universitario de Mayagüez de la UPR en su cuenta oficial.
El CTI afirmó que, en efecto, el proceso de migración de correos electrónicos a Outlook, aplicación de correo electrónico de Microsoft, había iniciado, a pesar de que los docentes no se les notificó de cuándo iniciaría o cuáles acciones debían tomar al respecto.
La declaración instó a varios estudiantes a intentar localizar la aplicación de Outlook en sus cuentas de Microsoft 365 para resolver problemas relacionados con el envío de correos electrónicos. Al utilizar la barra de búsqueda, se toparon con cientos de documentos que contenían información sensible perteneciente a empleados y estudiantes de la UPR.
«Confirmo que mi cuenta puede acceder a esos archivos. Hay archivos hasta del Rector de UPR Bayamón. Suerte que la movida a Microsoft era para tener mayor seguridad», afirmó en una publicación y narró a Pulso Estudiantil el egresado del sistema UPR Christopher Torres Lugo, quien contabilizó sobre 13,000 documentos y folders visibles en la barra de búsqueda de Microsoft 365.
Entre la información filtrada, se destacan números de seguro social, números telefónicos, recibos, exámenes, trabajos académicos, facturas, información de planes médicos, nóminas de empleados, asignaciones de cursos, y documentos administrativos, afirmaron varios estudiantes a este medio.
Ante las dudas, el estudiante doctoral Aníbal López Correa, quien por su cuenta pudo contabilizar información sensitiva de al menos 600 personas, notificó sobre la situación a la Oficina de Auditoría Interna (OAI), la Oficina del Sistema de Retiro, el presidente de la Junta de Gobierno, y los representantes estudiantiles y claustrales de la Junta de Gobierno durante la tarde de ayer.
Al inicialmente no recibir respuesta, el estudiante se unió al reclamo en las redes para obtener respuestas sobre lo que ocurría.
Horas después, la OAI y el Sistema de Retiro le informaron a López Correa que habían eliminado acceso a los documentos pertinentes, pero el estudiante pudo identificar a simple vista una gran cantidad de documentos públicos después de esta notificación.
El rector del Recinto de Mayagüez, Agustín Rullán Toro, aclaró durante la tarde que solo se migraron a Outlook las cuentas de los empleados de la UPR, y que las cuentas de los estudiantes no se verían afectadas, agregando, en otras publicaciones, sobre la información sensible filtrada que ‘’parecen ser documentos que quien los creó los dejó públicos cuando debieron ser privados. Ya lo reportamos a AC [Administración Central] para que se corrija’’.
Asimismo, el director de la Oficina de Sistemas de Información (OSI) de Administración Central, Ernesto Pujols Molina, descartó las situaciones transcurridas como ‘’un incidente aislado sobre la ejecución de los pasos correctos de seguridad requeridos por las plataformas de tecnología’’ en una carta dirigida a la comunidad universitaria que circuló durante la mañana de hoy.
«Cabe destacar que el incidente no está relacionado a la emulación del correo electrónico institucional a la plataforma Microsoft 365. Inmediatamente se tomó acción para corregir la situación», enfatizó Pujols Molina.
Sin embargo, estudiantes del Recinto de Mayagüez reportaron otros problemas, como el rebote de correos electrónicos importantes, además de no recibir correspondencia de sus profesores relacionada al fin de la sesión académica del verano.
Entre los dilemas que ocurrieron, hubo comunicación interrumpida entre profesores y estudiantes, reuniones canceladas, documentos que no llegaron a las cuentas institucionales, y correos electrónicos que nunca fueron enviados, según una catedrática del Recinto de Mayagüez, Nayda Santiago,.
«Desde ayer no entran emails a mi cuenta UPR y me dicen que se debe a que están haciendo la migración en el background sin autorización del usuario. Muchos profesores están en las mismas circunstancias. ¡Comenzamos bien! No ha comenzado MS y ya está fallando», relató Alexandra Medina-Borja, profesora de Ingeniería Industrial, en su cuenta de Twitter.
Medina-Borja agregó que intentó transferir su contenido hacia otra cuenta de Gmail, pero resultó infructuoso dado que su cuenta de upr.edu ya no está autorizada como una cuenta G Suite for Education.
«En el Google Suite, muchos tenemos todas nuestras herramientas de estudio y de organización sincronizadas con equipos de trabajo y profesores. Además de usar Google Drive para también almacenar nuestros documentos personales. El uso del Google Suite va más allá de lo académico y la decisión que tomaron sin consultarnos está teniendo mayores repercusiones», destacó la estudiante de Ingeniería Industrial Laura Villegas Pareja.
El presidente de la UPR, Jorge Haddock Acevedo, notificó el pasado viernes, 17 de julio, a la comunidad universitaria que se le informaría al estudiantado previo a iniciar el proceso de emulación a Microsoft.
Contrario a la expresiones de Haddock Acevedo, tanto el estudiantado como el profesorado no fue notificado de que, al menos en el Recinto Universitario de Mayagüez, iniciaría el proceso de migración a Microsoft o que las cuentas de correo electrónico sufrirían problemas técnicos a causa de dicha transición.
«Me enteré a través de las redes sociales de la migración. Muchas cuentas de profesores y profesionales en el área identificaron el contrato como absurdo y comentaban sobre ello», afirmó otro estudiante de Ingeniería Industrial, Bryan Saúl Ortiz.
La comunidad universitaria inicialmente se enteró sobre la migración a Microsoft a partir de una carta filtrada el 15 de julio a nombre de la directora de la Oficina de Sistemas de Información (OSI) de UPR Cayey, Minerva Díaz Cotto, en la que informó a algún sector de la comunidad universitaria sobre el proceso de migración de Google Suite a Microsoft 365.
Según fuentes consultadas por Pulso Estudiantil, la persona que inicialmente recibió la carta solicitó no ser identificada al enviarla a otros docentes, por lo que se desconocen los pormenores de su origen.
Tras ver la carta publicada junto a un comunicado de la Asociación Puertorriqueña de Profesores Universitarios (APPU), que denunció el contrato de 3.3 millones firmado con Microsoft Caribbean Inc. el pasado 29 de marzo, el profesor de matemáticas en el Recinto de Mayagüez Arturo Portnoy publicó ambas fotos en su cuenta de Twitter.
Al volverse viral la publicación de Portnoy, instó a un reclamo colectivo de la comunidad universitaria que exigió transparencia ante la migración de servicios a Microsoft y se reunió bajo el hashtag #DesastreMicrosoftUPR en Twitter.
Pulso Estudiantil se comunicó con Díaz Cotto para indagar sobre el origen de lo que parecería ser la primera comunicación directa hacia la comunidad universitaria sobre la transición a Microsoft 365. Al momento de redacción, no ha contestado.
Reclamo por transparencia
Miembros de la comunidad académica mostraron estar en desacuerdo con la migración a Microsoft que pareció ocurrir de forma inesperada y repentina.
En una encuesta de Twitter realizada por el profesor Portnoy, que recibió 2,412 participantes, la gran mayoría de los votos indicaron estar en desacuerdo con el proceso de reemplazo de Google Suite por Microsoft.
Asimismo, la APPU exigió transparencia a la administración de la UPR ante la contratación de Microsoft.
«Llama la atención que este contrato fue firmado, sin contar con el endoso de la comunidad universitaria, ni del Comité Asesor de Educación a Distancia, constituido por especialistas en el área de tecnología y educación a distancia, precisamente para asesorar a la administración en el tema de tecnologías», expresó la asociación en un comunicado de prensa divulgado el 15 de julio.
Por otro lado, estudiantes han denunciado que el proceso de transición ha sido atropellado y sin consentimiento del estudiantado.
«La universidad hubiera publicado evidencia de las razones por las cuales el sistema actual fallaba […], si eran asuntos de seguridad se debió haber informado. Después de informarle a la comunidad estudiantil y a los profesores, debieron haber consultado si estábamos de acuerdo o no con que se cambiara el sistema del Google Suite a otro, y así medir si existía la necesidad de hacer un cambio», expresó la estudiante Villegas Pareja.
Incluso, se ha denunciado que el cambio a Microsoft, atribuido a razones de seguridad por la UPR, en un comunicado de prensa publicado el 16 de julio, ha provocado la filtración de información sensitiva que podría tener consecuencias incalculables.
«Migrar de Google a Microsoft crea una magnitud de caos entre los usuarios. Tenían que ser más proactivos buscando alternativas en lugar de exponer sus 100,000 usuarios a este tipo de caos», explicó el exdirector de Sistemas de Información del Gobierno de Puerto Rico, Giancarlo González.
Por su parte, Google desmintió las expresiones de Haddock Acevedo en las que alegaba que su plataforma de G Suite for Education era menos segura que la de Microsoft.
Entre las organizaciones que se han posicionado en contra de la transición, se destacan el Departamento de Ciencias de Cómputos de la UPR en Río Piedras, la Hermandad de Empleados Exentos No Docentes, el Consejo General de Estudiantes (CGE) del Recinto de Mayagüez, y la APPU.
«La Administración Central falló en salvaguardar la información de estudiantes que claramente era pública. […] Urge revertir este contrato con Microsoft ya que, con el primer día de uso, quedaron claras todas las implicaciones. La presión con Microsoft es evidente en querer transformar a todas las agencias en sus programas», expuso el estudiante de Ingeniería Industrial Lemuel Ríos Santiago.
González cuestionó si, ante la migración atropellada, aún será efectiva la transición dado los gastos que la UPR tendrá que efectuar para educar a la comunidad y generar confianza hacia la plataforma por las filtraciones de información sensible.
«La confianza en Microsoft está lacerada. Confiar en esa plataforma incurre en gastos de comunicación y educación a la comunidad universitaria. Lo más conveniente es revertir, estabilizarse, y evaluar si es conveniente migrar por la razones que estipulan, ya que las personas no tienen la confianza en el sistema. Se van a afectar las operaciones, los grants y todo», agregó González.
Interacción con servicios de Microsoft desde febrero
La UPR renovó su contrato de adquisición de licencias con Microsoft Caribbean Inc., junto a adquirir otros servicios de SoftwareOne Inc., el 29 de marzo, para iniciar la integración de servicios con Microsoft posteriormente. La corporación de tecnología americana ha ofrecido servicios a la institución académica desde el 1999.
SoftwareOne Inc. es una empresa que ofrece servicios de migración, consultoría, y migración de base de datos para todo tipo de empresa o institución. Con su plan de AzureSimple, migrará las bases de datos de la UPR hacia servicios de Microsoft.
A los rectores de la UPR se les notificó sobre la migración de los servicios de información del G Suite hacia Microsoft 365 el 9 de julio, según una carta del CGE del RUM. El CTI, además, afirmó que se sabía del proyecto hace unos meses atrás.
No obstante, Pulso Estudiantil identificó nueve récords de Microsoft relacionados al servicio Azure (MICROSOFT-CORP-MSN-AS-BLOCK), actualizados el 25 de febrero de 2020, en el dominio de uprm.edu a través de Whois en Educause, una base de datos pública que contiene récords de dominios de instituciones educativas y otorga el dominio .edu a las instituciones académicas elegibles.
Asimismo, se identificaron cuatro récords bajo el mismo dominio de Microsoft con el identificador MICROSOFT-CORP-MSN-AS-BLOCK, bajo el dominio de la institución conocido como upr.edu.
Sin embargo, los correos electrónicos con el dominio que terminan con @uprm.edu no aparentan ser migrados a Outlook al momento de redacción. El servicio de hosting, por otro lado, aparenta estar en proceso de migración hacia Microsoft.
Los 13 dominios regados que Pulso Estudiantil identificó, entre los dominios del recinto mayagüezano y Administración Central, presentan problemas potenciales de seguridad para la institución por ausencia de protocolos de seguridad. Gran parte de los dominios carecen de certificados SSL, y los protocolos de conexión FTP aparentan no incluir una conexión encriptada.
Por su parte, la Administración Central de la UPR aún utiliza Telnet, un sistema que data de 1973, y ha sido reemplazado en la mayoría de los recintos y unidades del sistema universitario por SSH.
Telnet presenta problemas de seguridad al no encriptar su información, abriendo paso para que ocurran invasiones de privacidad. La Administración Central utiliza SSH, pero retiene a Telnet como una conexión alterna insegura para manejar las bases de datos de la institución académica.
Rullán Toro afirmó al CGE de Mayagüez que la decisión de migración hacia Microsoft fue «una ejecutiva, entiéndase tomada por el presidente Jorge Haddock, para atender asuntos de seguridad». El rector del Recinto de Mayagüez agregó que la migración hacia Microsoft no fue transparente para los usuarios, pero debió serla.
«Las migraciones de sistemas son complejas. Necesitan un equipo muy capacitado con las herramientas y el conocimiento para hacer una migración de esa magnitud, en cantidad y sensibilidad de datos. […] Se hizo de forma demasiado acelerada y sin tener las debidas precauciones. […] La administración está a tiempo de pausar la iniciativa y priorizar brindarle al estudiantado y a los profesores apoyo de parte de la institución para asegurar el éxito académico, no que se estén cumpliendo estrategias de negocio», concluyó la estudiante Villas Pareja.
Este reportaje se redactó con asistencia técnica del Webmaster de Pulso Estudiantil